Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 3 subscribers
  • Views 1357 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

PacketFilters not applying

tank
I have noticed a problem with v3.2 that no matter what changes I make to the Packet Filter rules they are not applying.  My final test was to set a rule of ANY-ANY-DROP, and I can still connect to all services I could at the last reboot.  Now then if I reboot the machine then the new rules will apply. Also after rebooting I was able to modify rules and they would be active right away.  So this is not an easily reproducable problem.


This thread was automatically locked due to age.
Parents
  • 0
    when you had ANY ANY ANY DROP, was it the only rule and was it active? What services could you connect to?
  • 0 in reply to Andy_01
    No it was not the only rule, but it was the FIRST rule so it should basicaly void all other rules.  I could connect to all the services I could prior (SSH, NTP, HTTP, IMAPS) but only the ones that I had defined prior.  Yes it was ACTIVE.  Upon reboot on rules including the new one becomes ACTIVE.  It is almost like the iptables is not being reloaded properly when a change to the Packet Filter occurs.
Reply
  • 0 in reply to Andy_01
    No it was not the only rule, but it was the FIRST rule so it should basicaly void all other rules.  I could connect to all the services I could prior (SSH, NTP, HTTP, IMAPS) but only the ones that I had defined prior.  Yes it was ACTIVE.  Upon reboot on rules including the new one becomes ACTIVE.  It is almost like the iptables is not being reloaded properly when a change to the Packet Filter occurs.
Children
  • 0 in reply to tank
    Originally posted by tank:
    No it was not the only rule, but it was the FIRST rule so it should basicaly void all other rules.  I could connect to all the services I could prior (SSH, NTP, HTTP, IMAPS) but only the ones that I had defined prior.  Yes it was ACTIVE.  Upon reboot on rules including the new one becomes ACTIVE.  It is almost like the iptables is not being reloaded properly when a change to the Packet Filter occurs.
    Its more like that no matter how you re-organise the rules in the packet filter screen, the rules are not updated in that order in iptables.

    If you read the help on that screen it says:

     

    If you reorganise the table, please note that the display of the rules won't coincide with the checking order any more. Be conscientious when making changes. The security of your firewall depends on it. 
    Which I expect means what I said in the first paragraph.
      [:S]
  • 0 in reply to Biffa
    Originally posted by Biffa:
    [Its more like that no matter how you re-organise the rules in the packet filter screen, the rules are not updated in that order in iptables.

    If you read the help on that screen it says:

      
    quote:

    If you reorganise the table, please note that the display of the rules won't coincide with the checking order any more. Be conscientious when making changes. The security of your firewall depends on it. 
    Which I expect means what I said in the first paragraph.
       [:S]y absolute test.

    If moving a rule to position 1 does not affect the filter set then we have a BIG problem.

    Note when I reboot the machine the rules that previously where not affective become affective.  I think something is just getting hung in Astaro, cause this does NOT always happen.
  • 0 in reply to tank
     

    If moving a rule to position 1 does not affect the filter set then we have a BIG problem.
    I could be wrong of course, its just the way I understood the information in the help. Your analysis makes more sense, but I've always just been careful to make sure I create the rules in the right order, and instead of moving rules I edit the rules in the order they are displayed.